Cybersécurité : l’IA est-elle une réelle source d’opportunités ?

Alors que se profilent les Jeux olympiques de Paris 2024, la question se pose de savoir si l’intelligence artificielle constitue un réel apport au regard des enjeux de sécurité et de cybersécurité propres à cet événement planétaire. De la même manière, le nouvel environnement juridique qui est en train de se construire au niveau européen autour de l’IA soulève des interrogations : est-il un levier ou un frein à l’innovation ?

Telles sont les questions débattues lors d’une table ronde intitulée « Intelligence artificielle et cybersécurité : conformité aux directives européennes pour une protection renforcée » organisée dans la cadre des universités d’été d’Hexatrust, le 19 septembre 2023.

L’IA, élément perturbateur

« L’IA, et plus particulièrement l’IA générative, est clairement venue perturber, modifier et influencer la façon dont nous réfléchissons à notre stratégie cyber. De même que la chanteuse Adele a récemment chanté une chanson générée par une IA, cette technologie vient impacter la façon dont nous réalisons notre métier au quotidien », déclare d’entrée de jeu Florent Kirchner, coordinateur de la stratégie nationale pour la cybersécurité.

Mais comme tout élément perturbateur, l’IA représente une source d’opportunités dans plusieurs domaines. « Dans la protection des citoyens, lors des grands événements sportifs comme les Jeux olympiques, l’IA est présente partout. Elle permet de passer du préventif au prescriptif en matière de cybersécurité et, grâce à la technologie de computer vision, d’anticiper des incidents de sécurité par caméra », note Philippe Miltin, CEO de 3DS Outscale.

Pour les RSSI, l’IA apporte une aide précieuse dans la priorisation des alertes de sécurité quotidiennes. « Tous les jours, il y a en moyenne 50 vulnérabilités publiées, ce qui équivaut à 50 incendies qu’il faut éteindre. Les outils à base d’IA nous permettent d’identifier celui sur lequel nous devons vraiment nous concentrer. Ce sont de vrais outils d’aide à la décision », complète Maxime Alay-Eddine.

Le contexte réglementaire lui aussi vecteur d’opportunités ?

Quant au contexte réglementaire en cours de gestation au niveau européen, il est lui aussi source d’opportunités. C’est en tout cas la position de Garance Mathias, avocat associé chez Mathias Avocats. Selon elle, le règlement européen sur l’intelligence artificielle (AI Act), dont le texte est aujourd’hui connu et qui doit désormais faire l’objet d’arbitrages entre eurodéputés et États membres, est porteur d’innovations.

« On peut voir le règlement européen sur l’intelligence artificielle comme une première mondiale. Il est d’ailleurs couplé à une directive sur la responsabilité, qui va devoir être transposée en droit français. Ces deux textes, qui constituent un cadre juridique nouveau, vont se compléter et représenter de réelles opportunités, et non des freins. En d’autres termes, le cadre se construit et il va évoluer en même temps que l’état de l’art », commente-t-elle.

Un avis que ne partage pas forcément le général de brigade Patrick Perrot, adjoint au commandant de la gendarmerie dans le cyberespace, au sein de la Direction générale de la gendarmerie nationale (DGGN). « Nous assistons actuellement à une course à la réglementation et, selon moi, l’important n’est pas d’être le premier, mais d’être le meilleur. Or aujourd’hui, toutes les applications des forces de sécurité intérieure sont classées dans le haut risque, ce qui signifie que nous avons tellement de contraintes que nous n’utiliserons peut-être pas l’IA. Cela pourrait avoir comme conséquence de faire baisser le niveau de protection des populations. Autrement dit, générer une asymétrie par la réglementation pourrait profiter aux cybercriminels », détaille-t-il.

Adopter une vision à 360 degrés de l’IA pour réussir son implémentation

Plus globalement, pour tirer profit de l’IA, une vision holistique est nécessaire. Le général Patrick Perrot insiste ainsi sur la nécessité d’adopter une approche à 360 degrés : « Mettre en place une stratégie IA pour les forces de sécurité intérieure signifie qu’il faut avoir une vision plurielle. Au-delà des outils informatiques opérationnels, qui aident les gendarmes au quotidien, il faut être capable d’appréhender l’IA par la formation, la réglementation, le conformité, l’éthique, la R&D… »

Une démarche que complète Garance Mathias, en soulignant notamment la nécessité, au sein des entreprises, de recenser les usages liés aux différentes IA déjà déployées. « Vous devez dans un premier temps réaliser une cartographie de vos usages, afin de savoir quelles IA vous utilisez, et pour quelles finalités. C’est un principe de bon sens. Le deuxième réflexe est de documenter les IA en vigueur au sein de votre organisation. Cela passe par le contrat, les conditions générales d’utilisation, etc. Enfin, la présence d’une personne référente sur l’IA est un vrai plus, notamment par rapport aux questions d’éthique », analyse-t-elle.

Et pour Pascal Rogiest, CCO de Rhea Group, entreprise spécialisée dans la fourniture de solutions et de services d’ingénierie au secteur spatial, établir un haut niveau de confiance est essentiel en matière d’IA et de cybersécurité. « Dans le secteur spatial, il est important d’anticiper. Nous ne pouvons pas nous en remettre à la mise en place d’un règlement. Les cybermenaces vont plus vite que ce que l’on pense, notamment grâce à l’émergence de l’IA. Nous devons donc donner l’exemple. Les industriels ont perçu cela depuis une décennie déjà et ont pris les devants, en collaboration avec l’agence spatiale européenne », conclut-il.